Cisco ASA krok za krokem: připojení, NAT a konfigurace DMZ

Vítejte u praktického návodu, ve kterém si krok za krokem ukážeme, jak nasadit Cisco ASA firewall – od prvního přihlášení, přes nastavení času a zálohování, až po NAT/PAT a konfiguraci DMZ s trunkem na switchi. Půjdeme krok po kroku, technicky přesně, ale vysvětlíme to tak, abyste to zvládli sami i při prvním setkání s ASA.

1. První přístup na Cisco ASA – přihlášení a základní konfigurace

Po připojení k ASA přes USB konzoli nebo telnet/SSH (pokud už máte síťové nastavení), se zobrazí výzva:

ciscoasa> enable
Password: ****
ciscoasa# configure terminal
ciscoasa(config)#

Zde nastavíte hostname, přístup přes konzoli a privilegovaný přístup:

hostname ASA‑FGS
enable password [vaše_heslo] encrypted
username admin password [heslo] privilege 15
aaa authentication ssh console LOCAL

Tím jsme definovali uživatele, povolili vyšší oprávnění a nastavili způsob autentizace – vše podle kurzu FGS.

2. Synchronizace času a zálohování konfigurace

Přesný čas je nezbytný pro logování i certifikáty. Použijeme NTP server:

ntp server 193.168.1.1 source inside
clock timezone CET 1
clock summer-time CEST recurring

Pro zálohování poté použijeme jednoduchý příkaz:

write memory
copy running-config tftp://192.168.1.100/asa‑fgs‑backup.cfg

Díky tomu máte jistotu, že se konfigurace neztratí při výpadku nebo výměně ASA.

3. NAT a PAT na Cisco ASA

Ochranná bariéra nemůže fungovat bez správně nastaveného NATu. V kurzech FGS doporučujeme následující kroky:

Networking Vás výzýva!

Chcete zažiariť? Za 5 dní nadobudnete skvelé základy administrácie TCP/IP sietí, ktoré vám dajú networking skills na celý život. Stačí konať a prijať Networking výzvu a rezervovať si tento kurz

Prvá hodina zadarmo!

Ovládnite VLANy a Switche

Počítač môžete využiť aj inak ako na hry a zábavu. Poďte zarábať ako králi. Iba týždeň Vám stačí a máš skvelé základy TCP/IP networkingu nato, aby ste si napr. našli job ako jr. Networking engineer. Stačí prijať Networking výzvu

Prvá hodina zadarmo!

3.1 Statický NAT (server dostupný z internetu)

object network SERV_WEB
 host 192.168.10.50
 nat (inside,outside) static 203.0.113.5

3.2 PAT – sdílení veřejné IP adresy pro klienty

object network CLIENTS
 subnet 192.168.10.0 255.255.255.0
 nat (inside,outside) dynamic interface

Tímto zajistíte, že interní klienti používají jednu veřejnou IP adresu ASA pro přístup k internetu.

4. Definice DMZ a trunkování se switchem Cisco

Segmentace DMZ je důležitá pro izolaci služeb. Připojíme switch pomocí VLAN trunku:

interface GigabitEthernet0/2
 description Link to Switch Trunk
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30

Na ASA pak nakonfigurujeme sub-interfacy pro inside, dmz a outside:

interface GigabitEthernet0/0
 no shutdown
interface GigabitEthernet0/0.10
 vlan 10
 nameif inside
 security-level 100
 ip address 192.168.10.1 255.255.255.0
interface GigabitEthernet0/0.20
 vlan 20
 nameif dmz
 security-level 50
 ip address 10.0.0.1 255.255.255.0
interface GigabitEthernet0/0.30
 vlan 30
 nameif outside
 security-level 0
 ip address 203.0.113.1 255.255.255.0

5. Pravidla Access Control List – řízení přístupu

Pro základní ochranu je nutné vytvořit ACL pro pohyb z inside do dmz a outside:

access-list OUTSIDE_IN extended permit tcp any host 203.0.113.5 eq 80
access-group OUTSIDE_IN in interface outside

Tímto zamezíte neautorizovanému přístupu a povolíte jen konkrétní TCP porty.

6. Ověření funkčnosti a jednoduché testy v laboratoři

Zkontrolujte, že nastavení fungují:

show nat – zobrazení pravidel NAT
show access-list – aktuální položky ACL
ping 203.0.113.5 – test přístupu na NATovaný server
show interface GigabitEthernet0/0.20 – ověření stavu rozhraní DMZ

7. Časté chyby a doporučené praktiky

Nezapomeňte na security-level – inside (100) > dmz (50) > outside (0).
Pozor na pořadí NAT a ACL – ASA je aplikuje dle pořadí.
Pravidelné zálohy – před a po každé změně konfigurace.
Testujte v labu: překládání NAT, služby v DMZ, přístup přes SSH, backup/restore.

8. Závěr

Tento komplexní návod pokrývá postup od připojení k ASA, přes nastavení času a zálohování, až po NAT, DMZ a ACL pravidla. Každý krok je vysvětlen tak, abyste získali jasný přehled, technickou jistotu a pocit, že skutečně ovládáte nasazení Cisco ASA firewallu. Kurzy Firewall Guard Specialist (FGS) jdou ještě dál – ukazují pokročilé režimy multimode, virtualizaci ASA i hlubší integrace se switche Cisco. Přejeme hodně úspěchů a těšíme se na vás v kurzu!

Kurz NA0 - Administrace a návrh LAN/WAN TCP/IP sítí - základní koncepty

Kurz NA1 - Základy administrace sítí LAN/WAN a směrování v TCP/IP sítích

Jak začít programovat?

Úvod do programování pro každého bez předchozích znalostí.

Stáhněte si náš ebook teď výjimečně zdarma!!!

STÁHNOUT TEĎ

Viac informacií preberáme na kurze:

Kurz FGS - Firewall Guard Specialist

Marián Knězek